Cliente Contaminado Fugindo do Controle

**cordeirog3** · 28-09-2009, 14:10

Olá Amigos,

Pude notar da semana passada até hoje, que alguns clientes infectados pelo conficker estão fugindo do controle da banda, quando olho os logs a máquinas dos clientes estão fazendo requisições feito loucas, coisa de uns 2mil requisições por minuto.

E quando vou olhar o consumo do LINK está tocando no máximo. Sem os clientes estarem fazendo uso da banda, ainda não consegui entender de que forma o controle de banda está fugindo.

Agradeço a todos que puderem dar alguma opinião ou sugestão.

**carloskruger** · 28-09-2009, 14:14

Amigo, ja tive esse problema, minha solução foi bloquear o cliente e mandar formatar a maquina
valeu

**lessa** · 28-09-2009, 14:20

Qual é o tipo de autenticação que você utiliza e versão do MikroTik?

**AndrioPJ** · 28-09-2009, 14:21

Postado originalmente por cordeirog3

Olá Amigos,

Pude notar da semana passada até hoje, que alguns clientes infectados pelo conficker estão fugindo do controle da banda, quando olho os logs a máquinas dos clientes estão fazendo requisições feito loucas, coisa de uns 2mil requisições por minuto.

E quando vou olhar o consumo do LINK está tocando no máximo. Sem os clientes estarem fazendo uso da banda, ainda não consegui entender de que forma o controle de banda está fugindo.

Agradeço a todos que puderem dar alguma opinião ou sugestão.

como vc tem certeza de ser conficker?

mas faca como o amigo acima disse...

**byosni** · 28-09-2009, 15:37

qual a versão do MK? se for 2.9.27 é melhor formatar o seu servidor e colocar a 3.22 ou 3.28.
rs

até mais...

**cordeirog3** · 28-09-2009, 15:48

Eu sei que é o conficker por causa das requisições que foram feitas a partir do computador do cliente, e fui até na casa dele.

Sim eu estou usando a versão 2.9.27, tenho também a versão 3.x licenciada, mais o proxy nunca funciona direito.

**p4ulo182** · 28-09-2009, 16:16

Postado originalmente por cordeirog3

Eu sei que é o conficker por causa das requisições que foram feitas a partir do computador do cliente, e fui até na casa dele.

Sim eu estou usando a versão 2.9.27, tenho também a versão 3.x licenciada, mais o proxy nunca funciona direito.

Cara tava com esses problemas ai!

Resolvi! como!?

1º MK 3.X pra cima
2º Firewall bem configurado

Quanto ao proxy cara, coloque um em paralelo ao seu MK você vai notar a grande difemça!

Dê uma olhada nesse!

Forum ThunderCache - Index page
THUNDERCACHE.ORG

Boa sorte amigo!

Abraço!

**AndrioPJ** · 28-09-2009, 16:24

Postado originalmente por cordeirog3

Eu sei que é o conficker por causa das requisições que foram feitas a partir do computador do cliente, e fui até na casa dele.

Sim eu estou usando a versão 2.9.27, tenho também a versão 3.x licenciada, mais o proxy nunca funciona direito.

sei q se trata de virus, mas tem uma certa ligacao com o q vou dizer...
conexoes simultaneas
vc nao usa limite de conexao ai?

ja ouvi falar bastante, porem, nunca havia testado
esses dias atras, coloquei ele aqui, em fase de teste
mas parece que nesses casos, ajudaria bastante
poir limitaria o usuario a x conexao simultanea...

o q vc acha?

bom, eu abri um topico para discutir isso...
https://under-linux.org/f132067-quem...nexao-e-ou-qos

**cordeirog3** · 28-09-2009, 17:14

Eu estava rodando o MK em paralelo com debian só que nada aparece umas lentidão que fica melhor sem o proxy, tirei o thunder e o ZPH mais fica lento do mesmo jeito, nem sei mais o que fazer, desisti e coloquei a 2.9.27 com cache-full e está rodando tudo blz.

Não consigo entender, vou postar aqui as configurações do squid.conf

**cordeirog3** · 28-09-2009, 17:16

Código :

http_port 8080 transparent
visible_hostname webproxy
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl redelocal src 192.168.10.1
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70 #protocolo gopher antigÃ£acl Safe_ports port 210 #whais
acl Safe_ports port 1024-65535 #todas as outras portas
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multi http
acl Safe_ports port 901 #acesso Swat
acl purge method PURGE
acl CONNECT method CONNECT
acl ADSAdClien url_regex ADSAdClien
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_PORTS
http_access deny ADSAdClien
#permissÃ£de acesso ao proxy, troque 0.0.0.0/0 pela sua
#classe de rede ou classes separadas por espaÃ§.
http_access allow localhost
http_access allow redelocal
#bloquear todos outros acessos.
http_access allow all
deny_info http://192.168.10.2/logo.html ADSAdClien
 
#CONFIGURACAO DO ZPH
#zph_mode tos
#zph_local 0x0C
#zph_parent 0
#zph_option 136
 
#===================================================================#
#Publicidade Orkut
#===================================================================#
acl ork.users  url_regex ork.users      
http_access deny ork.users
deny_info http://192.168.10.2/logo.gif ork.users
 
cache_access_log /var/log/squid/access.log
 
#memoria reservada para o cache, coloque um valor de preferencia 40%
# do total da sua maquina, e nÃ£mais.
cache_mem 512 MB
#mÃ¡mo tamanho dos arquivo cache na memoria
maximum_object_size_in_memory 128 KB
#mÃ¡mo tamanho dos arquivo cache no hd
maximum_object_size 40 MB
minimum_object_size 0 KB
#regra que comeÃ§a esvaziar / substituir arquivos no cache em 90%
cache_swap_low 90
cache_swap_high 95
#indicaÃ§ de localizaÃ§ da pasta de arquivos cache e em sequÃªia valor
#total em MB de espaÃ§no hd a ser usado pelo cache, numero de pastas, e
#numero de subpastas do cache.
cache_dir ufs /var/spool/squid 102400 256 512
#intervalos de tempos que o proxy verificara os arquivos dos site acessado
#conferem com o do cache, o valor 1140 significa 01 dia
refresh_pattern ^ftp: 15 20% 4480
refresh_pattern ^gopher: 15 0% 4480
refresh_pattern . 15 20% 4480
 
 
#OPÃES DE REDIRECIONAMENTO
 
#url_rewrite_children 10
#acl store_rewrite_list dstdomain -i "/etc/squid/thunder.lst"
#url_rewrite_access allow store_rewrite_list
#url_rewrite_access deny all
#url_rewrite_program /etc/squid/loader.php 
 
#nega cache local, para nÃ£haver duplicaÃ§
#acl localcache dstdomain 192.168.10.1
#cache deny localcache

Estou usando essa configuração no PC com processador Dual Core, 4GB de RAM, HD de 1.2TB e o debian versão mais nova. SQUID 2.7

**p4ulo182** · 28-09-2009, 17:21

Já vi alguns erros ai!

me adicione no msn caso queira que te passo que deve ser feito e depois você poeste aqui pro pessoal caso queira!

[email protected]

**cordeirog3** · 28-09-2009, 19:35

blz vou te adicionar no msn meu msn é [email protected]

**MarcosNTP** · 30-09-2009, 21:51

Postado originalmente por cordeirog3

Olá Amigos,

Pude notar da semana passada até hoje, que alguns clientes infectados pelo conficker estão fugindo do controle da banda, quando olho os logs a máquinas dos clientes estão fazendo requisições feito loucas, coisa de uns 2mil requisições por minuto.

E quando vou olhar o consumo do LINK está tocando no máximo. Sem os clientes estarem fazendo uso da banda, ainda não consegui entender de que forma o controle de banda está fugindo.

Agradeço a todos que puderem dar alguma opinião ou sugestão.

Faz um seguinte, se vc usa rádio com controle de banda, e mesmo assim nao resolve, vc bloqueia os P2p desse cliente, ve se resolve, se resolver tens q formatar a maquina dele mesmo!! gaste lá seu 50,00 ou 100,00 que seja, mas vai colocar a sua rede ao normal

Cliente Contaminado Fugindo do Controle

Ferramentas de Tópicos

Cliente Contaminado Fugindo do Controle

ola :)